Demande d'aide : spyware
devaux
-
gbinforme Messages postés 15481 Date d'inscription Statut Contributeur Dernière intervention -
gbinforme Messages postés 15481 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour à tous,
J'ai eu aujourd'hui la désagréable surprise en me connectant de constater que ma page de démarrage avait changé. Après avoir téléchargé, installé et lancé 3 anti-spywares (doctor spyware, spybot et ad-aware), il s'avère que je susi infecté par près de 200 spywares ou considérés comme tels. (CWS searchx, Slotchbar, Zango search assistant...). Je désinstalle un certain nombre de programmes grâce à Windows, supprime un grand nombre de ces spywares grace aux trois logs mentionnés ci-dessus...mais rien n'y fait, la page de démarrage (about : blank) qui s'affiche est celle d'un site de "voyous" (type annuaire), un pop up s'ouvre m'incitant à cliquer sur un lien car je serais infecté par un spyware et lors des recherches google, une nouvelle fenêtre s'ouvre (encore ces voyous !). J'ai également suivi une procédure lue sur le site éditeur de spybot -sans trop savoir ce que je faisais je dois l'avouer : HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 0]
Change the value of "1004" (DWORD) to 3. - .
CWS Shredder ne détecte rien, j'ai toutefois lancé un scan avec hijackthis .
Ce que je souhaite tout de suite, c'est :
1) Un peu d'aide pour interpréter les résultats hijack this : doctor spyware trouve encore deux spywares : slotchbar et Altnet software. Les deux autres (ad-aware et spybot ) ne trouvent rien
2) De l'aide pour tout autre chose : je dispose d'un partage de connexion (entre le XP présent sur cette machine et un 98 sur un très vieux poste). Depuis l'infection, impossible de partager la connexion Internet. Je peux échanger des fichiers entre les deux postes mais pas accéder au net avec mon vieux PC. J'ai bien sûr vérifié basiquement les paramètes de partage, de connexion réseau..;rien n'a été modifié HELP !!!!!!!
Voici le log Hijack :
ogfile of HijackThis v1.98.2
Scan saved at 22:07:23, on 26/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\System32\ctfmon.exe
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\spydoctor.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MIKE\LOCALS~1\Temp\Rar$EX00.641\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096634412228
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
O21 - SSODL: eplrr - {AC525A98-1CE8-431F-B4D2-BE21BCEE7CFF} - C:\WINDOWS\System32\eplrr3.dll
Merci au moins pour m'avoir lu
En attendant vos réponse
Julien
J'ai eu aujourd'hui la désagréable surprise en me connectant de constater que ma page de démarrage avait changé. Après avoir téléchargé, installé et lancé 3 anti-spywares (doctor spyware, spybot et ad-aware), il s'avère que je susi infecté par près de 200 spywares ou considérés comme tels. (CWS searchx, Slotchbar, Zango search assistant...). Je désinstalle un certain nombre de programmes grâce à Windows, supprime un grand nombre de ces spywares grace aux trois logs mentionnés ci-dessus...mais rien n'y fait, la page de démarrage (about : blank) qui s'affiche est celle d'un site de "voyous" (type annuaire), un pop up s'ouvre m'incitant à cliquer sur un lien car je serais infecté par un spyware et lors des recherches google, une nouvelle fenêtre s'ouvre (encore ces voyous !). J'ai également suivi une procédure lue sur le site éditeur de spybot -sans trop savoir ce que je faisais je dois l'avouer : HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 0]
Change the value of "1004" (DWORD) to 3. - .
CWS Shredder ne détecte rien, j'ai toutefois lancé un scan avec hijackthis .
Ce que je souhaite tout de suite, c'est :
1) Un peu d'aide pour interpréter les résultats hijack this : doctor spyware trouve encore deux spywares : slotchbar et Altnet software. Les deux autres (ad-aware et spybot ) ne trouvent rien
2) De l'aide pour tout autre chose : je dispose d'un partage de connexion (entre le XP présent sur cette machine et un 98 sur un très vieux poste). Depuis l'infection, impossible de partager la connexion Internet. Je peux échanger des fichiers entre les deux postes mais pas accéder au net avec mon vieux PC. J'ai bien sûr vérifié basiquement les paramètes de partage, de connexion réseau..;rien n'a été modifié HELP !!!!!!!
Voici le log Hijack :
ogfile of HijackThis v1.98.2
Scan saved at 22:07:23, on 26/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\System32\ctfmon.exe
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\spydoctor.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MIKE\LOCALS~1\Temp\Rar$EX00.641\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096634412228
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
O21 - SSODL: eplrr - {AC525A98-1CE8-431F-B4D2-BE21BCEE7CFF} - C:\WINDOWS\System32\eplrr3.dll
Merci au moins pour m'avoir lu
En attendant vos réponse
Julien
10 réponses
à voir ton analyse je pense que tu peux sans problème cocher les entrées O17 et O21, puis les fixer.
C'est sans doute cette adresse internet qui t'a infecté.
après on verra, si çà ne va pas mieux...
toujours zen
C'est sans doute cette adresse internet qui t'a infecté.
après on verra, si çà ne va pas mieux...
toujours zen
en l'occurence en fixant ces lignes tu devrait supprimer le lancement du programme malfaisant qui parasite la connexion.
ainsi cela devrait corriger la connexion avec l'autre PC
toujours zen
ainsi cela devrait corriger la connexion avec l'autre PC
toujours zen
Merci
J'ai redémarré en mode sans échec, relancé les divers anti-spywares, supprimé -de nouveau- des spywares récurrents puis relancé windows en mode normal. J'ai modifié le nom de cette dll, et retenté de me connecter avec le vieux PC. Rien à faire, je peux accéder aux fichiers mais pas partager la connexion. Je désespère. Je pense supprimer la connexion wanadoo (mon fai), la ré-installer et la partager. En dernier recours, puisque je peux profiter du réseau, je pense formater le disque et réinstaller XP. J'utiliserai par la suite un bon firewall, un bon anti-virus et un log du type ad-aware ou spyware doctor.
A tout hazard, voici le fichier hijackthis :
Logfile of HijackThis v1.98.2
Scan saved at 23:39:15, on 26/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\System32\ctfmon.exe
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MIKE\LOCALS~1\Temp\Rar$EX00.234\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096634412228
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
Y-a-til des irrégularités encore ou bien est-ce que ça vous paraît correct ?
Merci en tous cas pour ces réponses
Julien
J'ai redémarré en mode sans échec, relancé les divers anti-spywares, supprimé -de nouveau- des spywares récurrents puis relancé windows en mode normal. J'ai modifié le nom de cette dll, et retenté de me connecter avec le vieux PC. Rien à faire, je peux accéder aux fichiers mais pas partager la connexion. Je désespère. Je pense supprimer la connexion wanadoo (mon fai), la ré-installer et la partager. En dernier recours, puisque je peux profiter du réseau, je pense formater le disque et réinstaller XP. J'utiliserai par la suite un bon firewall, un bon anti-virus et un log du type ad-aware ou spyware doctor.
A tout hazard, voici le fichier hijackthis :
Logfile of HijackThis v1.98.2
Scan saved at 23:39:15, on 26/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\System32\ctfmon.exe
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MIKE\LOCALS~1\Temp\Rar$EX00.234\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\aksmy.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096634412228
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D4722D4-CBA5-4EA1-B71F-070FE27D5FB7}: NameServer = 80.10.246.1 80.10.246.132
Y-a-til des irrégularités encore ou bien est-ce que ça vous paraît correct ?
Merci en tous cas pour ces réponses
Julien
OUI, il y a encore les lignes O17 qui ne devraient pas exister et fournissent un point de connexion au site malveillant qui se réinstalle.
De plus, tu peux aussi fixer toutes les lignes R0, R1 R3 mis à part celle où il y a wanadoo : tout le reste est suspect.
Il faut vraiment qu'elles disparaissent pour que la situation soit propre. donc relancer HijackThis et les fixer pour les oter.
"J'utiliserai par la suite un bon firewall"
un gratuit comme Sygate ou Zone alarm ou autre fait l'affaire.
"un bon anti-virus"
il en existe des gratuits ou l'on peut se procurer des anciennes versions avec mises à jour actuelles pour pas cher.
" et un log du type ad-aware ou spyware doctor"
Personnellement je pense que le plus efficace est de vacciner le PC
avec spywareblaster car il empéche les intrusions sans avoir à le lancer, seulement le mettre à jour
et depuis que je l'ai installé j'ai enlevé les autres car ils ne trouvent plus rien.
.
toujours zen
De plus, tu peux aussi fixer toutes les lignes R0, R1 R3 mis à part celle où il y a wanadoo : tout le reste est suspect.
Il faut vraiment qu'elles disparaissent pour que la situation soit propre. donc relancer HijackThis et les fixer pour les oter.
"J'utiliserai par la suite un bon firewall"
un gratuit comme Sygate ou Zone alarm ou autre fait l'affaire.
"un bon anti-virus"
il en existe des gratuits ou l'on peut se procurer des anciennes versions avec mises à jour actuelles pour pas cher.
" et un log du type ad-aware ou spyware doctor"
Personnellement je pense que le plus efficace est de vacciner le PC
avec spywareblaster car il empéche les intrusions sans avoir à le lancer, seulement le mettre à jour
et depuis que je l'ai installé j'ai enlevé les autres car ils ne trouvent plus rien.
.
toujours zen
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je pense qu'il y a aussi la présence de virus sur ta machine
je te conseille de passer un antivirus en ligne, par exemple :
http://fr.mcafee.com/?CID=5829
Cela devrait permettre de supprimer aussi des problèmes
merci de nous tenir au courant
toujours zen
je te conseille de passer un antivirus en ligne, par exemple :
http://fr.mcafee.com/?CID=5829
Cela devrait permettre de supprimer aussi des problèmes
merci de nous tenir au courant
toujours zen
salut
tu vas là
http://hijackthis.de/
copie colle ton log là
tu notes les l ignes en rouges et relances HijackThis et fais FIX pour toutes lignes en rouge
a+
tu vas là
http://hijackthis.de/
copie colle ton log là
tu notes les l ignes en rouges et relances HijackThis et fais FIX pour toutes lignes en rouge
a+
Après avoir fixé les lignes O17 à O21 puis O16 je crois, puis O1 à O3 sans toucher à wanadoo, le PC a rencontré qques problèmes de fonctionnement. J'ai donc utilisé la solution optimale : formatage disque avec sauvegarde des données sur mon vieux pc (du coup peut être des spywares ont migré dessus...) et réinstallation de tous les composants, périphs, logiciels, du réseau domestique....je n'ai pu donc vous répondre plus tôt et par la même occasion vous remercier.
Mais le mal était fait et cela me parassisait la solution la plus saine. Je n'utilse toujours pas d'anti-virus (c'est pas mon pc et les autres utilisateurs seraient rapidement dépassés par des messages du type "vous tentez de télécharger un fichier executable qui pourrait contenir un virus. Que souhaitez...." et autres de ce type.
Par contre j'au installé spywareblaster mais celui-ci semble être incatif quand je le ferme avec la croix (pas de processus)alors que le logiciel précise que même fermé la protection demeure. D'autre part, comment m'assurer qu'il se lance à chaque démarrage du pc ou d'ie ?
Enfin, pour finir, le pc est comme neuf, j'ai navigué sur internet sur des sites plutôt "sains" pour l'instant (google, celui-ci, wanadoo, microsoft (sain ?...)...) mais malgré tout le résultat du log hijackthis posté sur le site hijackthis.de laisse apparaître deux lignes qu'il faut impérativement fixer : et là je doute un peu, ne voulant point altérer le fonctionnement du pc et devoir tout réinstaller. pouvez me donner votre avis sur ces deux lignes :
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Méchant Cette inscription doit obligatoirement être effacée par Hijackthis.
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Méchant Cette inscription doit obligatoirement être effacée par Hijackthis.
Alors en gros : spywareblaster est-il actif même quand le processus n'apparaît pas ?
Puis-je réellement supprimer ces lignes ?
Merci
A+
jul
Mais le mal était fait et cela me parassisait la solution la plus saine. Je n'utilse toujours pas d'anti-virus (c'est pas mon pc et les autres utilisateurs seraient rapidement dépassés par des messages du type "vous tentez de télécharger un fichier executable qui pourrait contenir un virus. Que souhaitez...." et autres de ce type.
Par contre j'au installé spywareblaster mais celui-ci semble être incatif quand je le ferme avec la croix (pas de processus)alors que le logiciel précise que même fermé la protection demeure. D'autre part, comment m'assurer qu'il se lance à chaque démarrage du pc ou d'ie ?
Enfin, pour finir, le pc est comme neuf, j'ai navigué sur internet sur des sites plutôt "sains" pour l'instant (google, celui-ci, wanadoo, microsoft (sain ?...)...) mais malgré tout le résultat du log hijackthis posté sur le site hijackthis.de laisse apparaître deux lignes qu'il faut impérativement fixer : et là je doute un peu, ne voulant point altérer le fonctionnement du pc et devoir tout réinstaller. pouvez me donner votre avis sur ces deux lignes :
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Méchant Cette inscription doit obligatoirement être effacée par Hijackthis.
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Méchant Cette inscription doit obligatoirement être effacée par Hijackthis.
Alors en gros : spywareblaster est-il actif même quand le processus n'apparaît pas ?
Puis-je réellement supprimer ces lignes ?
Merci
A+
jul
" spywareblaster est-il actif même quand le processus n'apparaît pas ? "
oui effectivement car il n'a pas besoin d'être lancé sauf pour les mises à jour (2 fois par mois)
Son action s'effectue par une "vaccination" du registre qui interdit aux espions connus de s'introduire et de travailler.
En ce qui concerne les lignes 9, elles ne posent pas un gros problème car elles permettent d'avoir des liens avec des sites voisins des sites recherchés mais je ne sais pas si elles servent à l'utilisation du web telle qu'elle est pratiqué.
"Je n'utilse toujours pas d'anti-virus (c'est pas mon pc et les autres utilisateurs seraient rapidement dépassés par des messages du type "vous tentez de télécharger un fichier executable qui pourrait contenir un virus. Que souhaitez...." et autres de ce type. "
Si l'antivirus est adapté et paramétré, il ne pose aucune question
et comme le PC était effectivement atteint par un virus ce me paraitrait tout de même une sage précaution car les autres utilisateurs vont peut-être sur des sites bien moins sûrs !
toujours zen
oui effectivement car il n'a pas besoin d'être lancé sauf pour les mises à jour (2 fois par mois)
Son action s'effectue par une "vaccination" du registre qui interdit aux espions connus de s'introduire et de travailler.
En ce qui concerne les lignes 9, elles ne posent pas un gros problème car elles permettent d'avoir des liens avec des sites voisins des sites recherchés mais je ne sais pas si elles servent à l'utilisation du web telle qu'elle est pratiqué.
"Je n'utilse toujours pas d'anti-virus (c'est pas mon pc et les autres utilisateurs seraient rapidement dépassés par des messages du type "vous tentez de télécharger un fichier executable qui pourrait contenir un virus. Que souhaitez...." et autres de ce type. "
Si l'antivirus est adapté et paramétré, il ne pose aucune question
et comme le PC était effectivement atteint par un virus ce me paraitrait tout de même une sage précaution car les autres utilisateurs vont peut-être sur des sites bien moins sûrs !
toujours zen
Bonjour et merci, de nouveau,
En effet, il est temps d'utiliser un anti-virus. Kapersky semble plebiscité, mais norton paraît plus réputé. Je pense de toutes façons trouver la réponse sur ce forum ou sur le web.
me voilà de plus rassuré de pouvoir fermer spywareblaster...j'aime pas trop être pollué par 36000 fenêtres ou icônes actives...petit côté obsessionnel je sais, mais j'aime bien que le pc consacre toutes ses ressources à l'application que j'utilise. (c pas possible, je sais, mais si ça peut le paraître).
En tous cas, merci pour votre réactivité et vos conseils et longue vie à ce site plus qu'indispensable.
Julien....k'est à peu près resté zen
En effet, il est temps d'utiliser un anti-virus. Kapersky semble plebiscité, mais norton paraît plus réputé. Je pense de toutes façons trouver la réponse sur ce forum ou sur le web.
me voilà de plus rassuré de pouvoir fermer spywareblaster...j'aime pas trop être pollué par 36000 fenêtres ou icônes actives...petit côté obsessionnel je sais, mais j'aime bien que le pc consacre toutes ses ressources à l'application que j'utilise. (c pas possible, je sais, mais si ça peut le paraître).
En tous cas, merci pour votre réactivité et vos conseils et longue vie à ce site plus qu'indispensable.
Julien....k'est à peu près resté zen
Est-ce que le problème de partage de connexion internet que je rencontre peut être lié aux spywares.
Merci pour cette réponse
Julien
Je viens d'essayer de fixer les 4 lignes O17 etO21, hijackthis a rencontré une erreur :
An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O21 - SSODL: eplrr - {AC525A98-1CE8-431F-B4D2-BE21BCEE7CFF} - C:\WINDOWS\System32\eplrr3.dll)
Error #62 - Input past end of file
Please email me at merijn@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error
* A complete HijackThis scan log, if possible
Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2600.0000
HijackThis version: 1.98.2
This message has been copied to your clipboard.
Keskispasse ?
Merci
julien
il faudrait essayer de supprimer ou plutôt de renommer ce fichier, si c'est possible car ce doit être ce module qui cause le problème car c'est une DLL inconnue de Windows.
toujours zen